Azure SQL Yönetilen Örneği için Azure Özel Bağlantı

Şunlar için geçerlidir:Azure SQL Yönetilen Örneği

• Azure SQL Veritabanı
• Yönetilen Azure SQL Örneği

Bu makalede Azure SQL Yönetilen Örneği için özel uç noktaya genel bir bakış ve yapılandırma adımları sunulmaktadır. Özel uç noktalar, hizmetinizin tüm ağ altyapısını göstermeden bir hizmetle birden çok sanal ağ arasında güvenli, yalıtılmış bağlantı kurar.

Genel bakış

Özel Bağlantı, Azure SQL Yönetilen Örneği seçtiğiniz bir sanal ağda kullanılabilir hale getiren Azure teknolojisidir. Bir ağ yöneticisi sanal ağlarında Azure SQL Yönetilen Örneği için özel bir uç nokta oluşturabilirken, SQL yöneticisi uç noktayı etkin hale gelmeden önce kabul etmeyi veya reddetmeyi seçer. Özel uç noktalar, hizmetinizin tüm ağ altyapısını göstermeden bir hizmetle birden çok sanal ağ arasında güvenli, yalıtılmış bağlantı kurar.

Özel uç noktaların sanal ağ-yerel uç noktalardan farkı

Her Azure SQL Yönetilen Örneği ile dağıtılan varsayılan sanal ağ yerel uç noktası, hizmeti çalıştıran bir bilgisayar sanal ağınıza fiziksel olarak eklenmiş gibi davranır. Rota tabloları, ağ güvenlik grupları, DNS çözümlemesi, güvenlik duvarları ve benzer mekanizmalar aracılığıyla neredeyse eksiksiz trafik denetimine olanak tanır. Bu uç noktayı, örneğinizi yük devretme grupları, dağıtılmış işlemler ve Yönetilen Örnek bağlantısı gibi 1433 dışındaki bağlantı noktalarına bağlantı gerektiren senaryolara dahil etmek için de kullanabilirsiniz. Sanal ağ yerel uç noktası esneklik sağlasa da, özellikle birden çok sanal ağ veya kiracı içeren belirli senaryolar için yapılandırırken karmaşıklık ekler.

Bunun aksine, özel uç nokta, fiziksel ağ kablosunu Azure SQL Yönetilen Örneği çalıştıran bir bilgisayardan başka bir sanal ağa uzatmaya benzer. Bu bağlantı yolu sanal olarak Azure Özel Bağlantı teknolojisi aracılığıyla oluşturulur. Yalnızca tek yönlü bağlantılara izin verir: özel uç noktadan Azure SQL Yönetilen Örneği'ne. Ayrıca yalnızca 1433 numaralı bağlantı noktasında (standart TDS trafik bağlantı noktası) trafik taşır. Bu şekilde, Azure SQL Yönetilen Örneği ağ eşlemesi ayarlamak veya örneğin genel uç noktasını açmak zorunda kalmadan farklı bir sanal ağ tarafından kullanılabilir hale gelir. Örneği başka bir alt ağa taşısanız bile, oluşturulan özel uç noktalar buna işaret etmeye devam eder.

Azure SQL Yönetilen Örneği tarafından desteklenen farklı uç nokta türleri hakkında daha ayrıntılı bilgi için bkz. İletişime genel bakış.

Özel uç noktalar ne zaman kullanılmalıdır?

Azure SQL Yönetilen Örneği'ne yönelik özel uç noktalar , sanal ağ yerel uç noktası veya genel uç nokta kullanmaktan daha güvenlidir ve önemli bağlantı senaryolarının uygulanmasını basitleştirir. Bu senaryolar şunlardır:

• Airlock: Azure SQL Yönetilen Örneği'ne yönelik özel uç noktalar, şirket içi ve bulut kaynakları arasında güvenlik ve yalıtım sağlayan atlama sunucuları ve ExpressRoute ağ geçidine sahip bir sanal ağda dağıtılır.
• Merkez-uç topolojisi: Uç sanal ağlardaki özel uç noktalar, SQL istemcilerinden ve uygulamalarından merkez sanal ağında Azure SQL Yönetilen Örneklerine gelen trafiği yürüterek net ağ yalıtımı ve sorumluluk ayrımı sağlar.
• Yayımcı-tüketici: Yayımcı kiracısı (örneğin, bir ISV), sanal ağlarındaki birden çok SQL yönetilen örneğini yönetir. Yayımcı, örnekleri tüketicilerinin kullanımına açmak için diğer kiracıların sanal ağlarında özel uç noktalar oluşturur.
• Azure PaaS ve SaaS hizmetlerinin tümleştirilmesi: Azure Data Factory gibi bazı PaaS ve SaaS hizmetleri, Azure SQL Yönetilen Örneği'ne özel uç noktalar oluşturabilir ve yönetebilir.

Özel uç noktaları kullanmanın sanal ağda yerel veya genel uç nokta kullanmaya kıyasla avantajları şunlardır:

• IP adresi öngörülebilirliği: Azure SQL Yönetilen Örneğine özel bir uç noktaya alt ağdaki adres aralığından sabit bir IP adresi atanır. Sanal ağda yerel ve genel uç noktaların IP adresleri değişse bile bu IP adresi statik kalır.
• Ayrıntılı ağ erişimi: Özel uç nokta yalnızca sanal ağı içinde görünür.
• Güçlü ağ yalıtımı: Eşleme senaryosunda eşlenmiş sanal ağlar iki yönlü bağlantı kurarken, özel uç noktalar tek yönlü olur ve ağlarının içindeki ağ kaynaklarını Azure SQL Yönetilen Örneği'ne sunmaz.
• Adres çakışmasını önleme: Birden çok sanal ağı birleştirmek dikkatli bir IP adres alanı tahsisi gerektirir ve adres alanları çakıştığında sorun oluşturabilir.
• IP adresi gayrimenkulünü koruma: Özel uç nokta alt ağdaki adres alanından yalnızca bir IP adresi kullanır.

Sınırlamalar

• Azure SQL Yönetilen Örneği, SQL istemcisi tarafından gönderilen bağlantı dizesi tam örnek konak adının gösterilmesini gerektirir. Özel uç noktanın IP adresinin kullanılması desteklenmez ve başarısız olur. Bu sorunu çözmek için DNS sunucunuzu yapılandırın veya Özel uç nokta için etki alanı adı çözümlemesini ayarlama bölümünde açıklandığı gibi özel bir DNS bölgesi kullanın.
• DNS adlarının otomatik kaydı henüz desteklenmiyor. Bunun yerine özel uç nokta için etki alanı adı çözümlemesini ayarlama başlığındaki adımları izleyin.
• SQL Yönetilen Örneği için özel uç noktalar yalnızca SQL trafiği için standart TDS bağlantı noktası olan bağlantı noktası 1433'e bağlanmak için kullanılabilir. Diğer bağlantı noktaları üzerinde iletişim gerektiren daha karmaşık bağlantı senaryoları, örneğin sanal ağ yerel uç noktası üzerinden oluşturulmalıdır.
• Azure SQL Yönetilen Örneği için özel uç noktalar, Özel uç nokta için etki alanı adı çözümlemesini ayarlama bölümünde açıklandığı gibi gerekli DNS çözümlemesini yapılandırmak için özel bir kurulum gerektirir.
• Özel uç noktalar, bağlantı türü ayarından bağımsız olarak her zaman ara sunucu bağlantı türünü kullanır.

Sanal ağda özel uç nokta oluşturma

Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak özel uç nokta oluşturun:

• Azure portalındaki
• Azure PowerShell
• Azure CLI

Özel uç nokta oluşturduktan sonra hedef sanal ağ içinde oluşturulmasını da onaylamanız gerekebilir; Bkz. Özel uç nokta oluşturma isteğini gözden geçirme ve onaylama.

Özel uç noktanın tamamen işlevsel SQL Yönetilen Örneği hale getirmek için yönergeleri izleyerek özel uç nokta için etki alanı adı çözümlemesini ayarlayın.

PaaS veya SaaS hizmetinde özel uç nokta oluşturma

Bazı Azure PaaS ve SaaS hizmetleri, kendi ortamlarından verilerinize erişmek için özel uç noktaları kullanabilir. Böyle bir hizmette özel uç nokta ayarlama yordamı (bazen "yönetilen özel uç nokta" veya "yönetilen sanal ağda özel uç nokta" olarak adlandırılır) hizmetler arasında farklılık gösterir. Yöneticinin özel uç nokta oluşturma isteğini gözden geçirme ve onaylama bölümünde açıklandığı gibi Azure SQL Yönetilen Örneği isteği gözden geçirmesi ve onaylaması gerekir.

Not

Azure SQL Yönetilen Örneği, örneğin adını etki alanı adının ilk kesimi olarak taşıması için SQL istemcisinden bağlantı dizesi gerektirir (örneğin: <instance-name>.<dns-zone>.database.windows.net). Azure SQL Yönetilen Örneği'nin özel uç noktasına IP adresi üzerinden bağlanmaya çalışan PaaS ve SaaS hizmetleri bağlanamaz.

Kiracılar arası özel uç nokta oluşturma

Azure SQL Yönetilen Örneği için özel uç noktalar farklı Azure kiracılarında da oluşturulabilir. Bunu yapmak için, özel uç noktanın görünmesi gereken sanal ağın yöneticisinin önce özel uç nokta istemek üzere olduğu Azure SQL Yönetilen Örneği'nin tam kaynak kimliğini alması gerekir. Bu bilgilerle, Özel Bağlantı Center'da yeni bir özel uç nokta oluşturulabilir. Daha önce olduğu gibi, Azure SQL Yönetilen Örneği yöneticisi özel uç nokta oluşturma isteğini gözden geçirip onaylayıp reddedebilecekleri bir istek alır.

Özel uç nokta oluşturma isteğini gözden geçirme ve onaylama

Özel uç nokta oluşturma isteği yapıldıktan sonra, SQL yöneticisi Azure SQL Yönetilen Örneği özel uç nokta bağlantısını yönetebilir. Yeni bir özel uç nokta bağlantısını yönetmenin ilk adımı, özel uç noktayı gözden geçirmek ve onaylamaktır. Özel uç noktayı oluşturan kullanıcı veya hizmetin Azure SQL Yönetilen Örneği kaynağında yeterli Azure RBAC izinleri varsa bu adım otomatik olarak gerçekleşir. Kullanıcı yeterli izinlere sahip değilse, özel uç noktanın gözden geçirilmesi ve onaylanması el ile yapılmalıdır.

Özel uç noktayı onaylamak için şu adımları izleyin:

1. Azure portalında Azure SQL Yönetilen Örneği gidin.

2. Güvenlik'in altında Özel uç nokta bağlantıları'nı seçin.

   

3. Bekleme durumunda olan bağlantıları gözden geçirin ve onaylayacak veya reddedecek bir veya daha fazla özel uç nokta bağlantısı seçmek için kutuyu işaretleyin.

   

4. Onayla veya Reddet'i seçin ve ardından eyleminizi doğrulayan iletişim kutusunda Evet'i seçin.

   

5. Bir bağlantıyı onayladıktan veya reddettikten sonra, Özel Uç Nokta Bağlantısı listesi hem geçerli özel uç nokta bağlantılarının durumunu hem de İstek/Yanıt iletisini yansıtır.

   

Özel uç nokta için etki alanı adı çözümlemesini ayarlama

Azure SQL Yönetilen Örneği'ne özel bir uç nokta oluşturduktan sonra domain adı çözümlemesini yapılandırmanız gerekir. Aksi takdirde oturum açma girişimleri başarısız olur. Aşağıdaki yöntem, Azure DNS çözümlemesi kullanan sanal ağlar için çalışır. Sanal ağınız özel bir DNS sunucusu kullanacak şekilde yapılandırılmışsa, adımları buna göre ayarlayın.

Özel bir uç nokta için, sanal ağ yerel uç noktasının etki alanı adı <instance-name>.<dns-zone>.database.windows.net olan bir örneğe etki alanı adı çözümlemesi ayarlamak amacıyla, bu bölümdeki iki yordamdan birini izleyin; bu, örnek ile özel uç noktasının aynı sanal ağda mı yoksa farklı sanal ağlarda mı olduğuna bağlı olarak uygulanmalıdır.

Önemli

Azure SQL Yönetilen Örneği etki alanı adının VNet yerel uç noktasının kendi sanal ağı içinde nasıl çözümlendiğini değiştirmeyin. Bunun yapılması, örneğin yönetim işlemlerini gerçekleştirme becerisini kesintiye uğratır.

Farklı sanal ağlar

Özel uç nokta ve Azure SQL Yönetilen Örneği farklı sanal ağlardaysa bu adımları izleyin.

Bu adımları tamamladıktan sonra uç noktanın sanal ağının içinden'e <instance-name>.<dns-zone>.database.windows.net bağlanan SQL istemcileri, özel uç nokta üzerinden saydam bir şekilde yönlendirilir.

1. Özel Bağlantı Merkezi'ni ziyaret ederek veya aşağıdaki adımları uygulayarak özel uç noktanın IP adresini alın:

   1. Azure portalında Azure SQL Yönetilen Örneği gidin.

   2. Güvenlik'in altında Özel uç nokta bağlantıları'nı seçin.

   3. Tabloda özel uç nokta bağlantısını bulun ve seçtiğiniz bağlantı için Özel uç nokta adını seçin.

      

   4. Genel Bakış sayfasında ağ arabirimini seçin.

      

   5. Genel Bakış sayfasında, Özel IP adresini tanımlamak ve kopyalamak için Temel Bileşenler'idenetleyin.

      

2. adlı privatelink.<dns-zone>.database.windows.net.

3. Özel DNS bölgesini uç nokta sanal ağına bağlayın.

4. DNS bölgesinde, aşağıdaki değerlerle yeni bir kayıt kümesi oluşturun:

   • Ad: <instance-name>
   • Tür A
   • IP adresi: Önceki kümede alınan özel uç noktanın IP adresi

Aynı sanal ağlar

Özel uç nokta ve Azure SQL Yönetilen Örnek aynı sanal ağda olduğunda, sunucunuzun etki alanı adı örneğin TLS sertifikasıyla eşleşmiyor. Özel uç noktaya bağlanmak için istemcilerinizi aşağıdaki yollardan biriyle yapılandırmanız gerekir:

• (Önerilen) Encrypt=Strict ve HostNameInCertificate, örneğin VNet-yerel uç nokta etki alanı adı olarak ayarlayın.
• Encrypt=Mandatory ve HostNameInCertificate öğelerini örneğin VNet yerel uç nokta etki alanı adına ayarlayın.
• ve Encrypt=Mandatory değerini ayarlayın TrustServerCertificate=True (üretim kullanımı için önerilmez).
• Ayarla Encrypt=Optional (önerilmez).

Özel uç nokta ve Azure SQL Yönetilen Örneği aynı sanal ağdaysa şu adımları izleyin:

1. Özel Bağlantı Merkezi'ni ziyaret ederek veya aşağıdaki adımları uygulayarak özel uç noktanın IP adresini alın:

   1. Azure portalında Azure SQL Yönetilen Örneği gidin.
   2. Güvenlik'in altında Özel uç nokta bağlantıları'nı seçin.
   3. Tabloda özel uç nokta bağlantısını bulun ve seçtiğiniz bağlantı için Özel uç nokta adını seçin.

   

   1. *Genel Bakış sayfasında ağ arabirimini seçin.

   

   1. Genel Bakış sayfasında, Özel IP adresini tanımlamak ve kopyalamak için Temel Bileşenler'idenetleyin.

   

2. oluşturun; örneğin: .

   Uyarı

   Özel DNS bölgesini privatelink.<dns-zone>.database.windows.net adlandırmak, örneğin iç bağlantısını kesintiye uğratır ve yönetim işlemlerinin başarısız olmasına neden olur.

3. Özel DNS bölgesini uç nokta sanal ağına bağlayın.

4. DNS bölgesinde, aşağıdaki değerlerle yeni bir kayıt kümesi oluşturun:

   • Ad: <instance-name>
   • Tür A
   • IP adresi: Önceki adımlarda alınan özel uç noktanın IP adresi.

İlgili içerik

• Azure SQL Yönetilen Örnek için Bağlantı Mimarisi
• Azure Özel Bağlantı ve özel uç noktalar
• Azure Özel Bağlantı kullanılabilirliği